德國重視網絡空間安全建設

高榮偉

近年來，網絡安全已被諸多國家置于國家戰略安全的制高點。就德國而言，德國政府不僅重視網絡空間的安全與發展，而且特別注重頂層設計。為了有效應對各類頻發的網絡安全事件，德國在國家與軍隊兩個層面，成立了多重網絡安全職能部門，通過采取網絡安全專門立法的方式加強對網絡安全威脅的防范與控制。

重視網絡安全由來已久

據《南德意志報》報道，已故俄羅斯計算機專家克里斯·卡斯佩爾斯基預言，在未來互聯網時代會有一場數字版的“9·11”恐怖襲擊。未來汽車、核電站、輸油管道等均由計算機控制，如果攻入這些系統，制造車禍、核泄漏和管道爆炸將不是難事。2016年11月底，德國電信遭遇了一次大范圍的網絡故障，進一步印證了克里斯·卡斯佩爾斯基的觀點。據當地媒體報道，在德國電信總計約為2000萬臺固定網絡用戶中，有大約90萬臺路由器發生故障，并由此導致大面積網絡訪問受限。之后，德國電信確認了此次事故是由于路由設備界面暴露在互聯網上，導致在互聯網上發生了針對性攻擊。

德國國防部國務秘書卡特琳·蘇德爾在德國聯邦安全政策學院發表講話時說，網絡安全不再是“科幻”，“網絡（安全問題）讓我晚上睡不好覺”。根據目前網絡技術發展現狀，德國政府認為，德國主要面臨包括盜竊和欺詐性使用個人數據、開展工業間諜活動、破壞關鍵基礎設施，以及干擾政府和軍事通信系統在內的多種威脅。為此，“德國必須努力確保地面、空中和海上通信線路安全，以及太空、網絡和信息空間不受阻礙”。

多年來，在加強網絡安全建設方面，德國在國家與軍隊層面建立了較為扎實的網絡空間安全力量布置。在國家層面，德國早已建立了“網絡安全理事會”?！熬W絡安全理事會”每年召開3次會議，德國聯邦總理府、外交部、國防部、經濟部、司法部、財政部、教研部及部分聯邦州代表與會，還有德國工業聯合會、德國工商大會、德國信息經濟、電信和新媒體協會，以及輸電系統運營商Amprion等經濟界代表出席，共同商討德國面臨的網絡空間安全問題。

德國是歐洲信息技術最發達的國家，其對網絡安全的重視由來已久。早在1974年就批準了與第一個信息化相關的“四年發展計劃”，而且1977年頒布了《數字保護法》。2001年，為了應對日益增多的黑客威脅，德國政府組建了相應的網絡應急預警系統。2005年，德國政府出臺了全國性的IT安全計劃，建立了電腦緊急情況應對中心。2008年，德國政府批準了一部飽受爭議的互聯網監管法案。該法案允許警方在特別授權的情況下，通過向嫌疑人發送帶有木馬病毒的匿名電子郵件來實現對該嫌疑人電腦的監控，旨在幫助警方迅速鎖定嫌疑人 。

在加強網絡空間安全保障方面，尤其值得一提的是，2011年4月1日，德國政府建立了國家網絡空間防御中心。該中心由德國聯邦信息技術安全局領導，聯邦憲法保護局、聯邦警察、海關刑事偵查局、聯邦情報局等共同參與。一旦發生網絡空間的攻擊，該中心可迅速評估形勢，并向各級部門提出應對措施建議。

近年來歐洲發生了數起恐怖襲擊事件，這本來能夠得到阻止，只要它們擁有一個更好的網絡監測政策。基于這一思考， 2016年8月，德國宣布建立了“安全領域信息中央辦公室”。

務實推進網絡安全戰略

德國十分重視加強網絡安全的立法工作。為了加強網絡安全的頂層設計，2011年2月公布了《德國網絡安全戰略》，作為指導德國網絡安全建設的綱領性文件。該戰略制定的目標是大力推進安全網絡空間建設，促進經濟與社會繁榮。《德國網絡安全戰略》明確闡述了德國網絡安全戰略的現實依據、框架條件、基本原則、戰略目標及保障措施。

《德國網絡安全戰略》以保護關鍵基礎設施為核心，建立了一系列相關機構，為網絡安全提供多重制度保證。該戰略以保護關鍵基礎設施為重中之重，這是因為現在幾乎所有基礎設施均離不開信息技術，像金融、電信、能源、衛生、供水等領域的關鍵基礎設施一旦受到網絡攻擊，后果不堪設想。該戰略重視國內資源整合，重視戰略的防御性以及定期審查與更新。在《德國網絡安全戰略》中，德國政府首次對德國IT產業所面臨的威脅進行了評估，指出網絡犯罪、恐怖活動以及針對關鍵基礎設施開展的網絡攻擊是影響德國網絡安全的三大重要因素。

2015年7月10日，德國議會通過《德國網絡安全法》，標志著德國網絡安全立法由分散走向統一?！兜聡W絡安全法》規定，德國聯邦刑事偵查局（BKA）將專門負責各種網絡犯罪的偵查工作。在具體職權方面，《德國網絡安全法》授權德國聯邦刑事偵查局對網絡犯罪嫌疑人實施數據攔截和數據監控的權力。這項職權的授予意味著警方可以在特別授權的情況下，對網絡犯罪嫌疑人進行抓包分析并實施點對點的數據監控。

《德國網絡安全法》進一步規定，凡是涉及水資源、能源、通信、醫療、交通、金融、保險等與德國民眾日常生活緊密相關的行業或企業，均屬于關鍵基礎設施的保護范圍。該法案規定，凡是本法規定的關鍵基礎設施保護范圍的企業或實際經營者，應當在2年的時間內逐步采取并完善本法規定的相應保護措施。對于逾期未完成相關保護任務的企業或個人，政府將處以10萬歐元的罰款 。

2016年11月，德國政府發布了一項新的網絡安全戰略計劃，用以應對越來越多的針對政府機構、關鍵基礎設施、企業以及公民的網絡威脅活動。根據新戰略，德國政府將重點關注以下領域：保護關鍵信息基礎設施；保護信息系統安全；加強公共管理領域信息安全；成立網絡應急響應中心；成立網絡安全委員會；有效控制網絡空間犯罪行為等。新戰略指出，為抵御各類針對政府機構和關鍵基礎設施的網絡威脅，將建立一支由聯邦信息安全辦公室領導的快速響應部隊。與此同時，在聯邦警察局、情報機構內設置類似的應急響應小組。

全方位的基礎戰略及其機構設置，在網絡安全方面為德國提供了多重制度保證。除此之外，德國政府還大力推動“信息技術安全研究”項目。目前，內政部已起草了《信息技術安全法》。

成立一支全新的數字化部隊

德國軍方認為，在軍事領域的網絡攻擊已經成為部隊和情報部門行動的重要組成部分。為了有效應對來自軍事領域的網絡攻擊，據德國《焦點周刊》報道，2017年4月1日，德國聯邦國防軍正式建立一個專門從事信息戰的網絡空間作戰司令部。德國國防部稱，網絡空間作戰司令部是在德國關鍵基礎設施長期遭受網絡攻擊的背景下成立的。僅2017年前兩個月，國防軍就遭到超過28萬次網絡攻擊，包括間諜行為、破壞行為、數據竊取和操控影響等。

網絡空間作戰司令部，其全稱為“網絡與信息空間司令部”，地位與陸?？哲娝玖畈繉Φ?，共同構成德國聯邦國防軍體系，旨在保護其信息技術與武器系統免受攻擊侵擾。2016年版的《德國國防白皮書》代表了軍方在網絡空間領域的態度與立場。該白皮書認為，德國國家的繁榮和公民的福祉主要依賴于全球信息和通信系統、供應鏈等方面的暢通無阻。

據了解，在軍隊方面，德國聯邦國防軍是較早開始建設網絡空間作戰力量的軍隊之一。早在2008年格魯吉亞危機和烏克蘭事件中已經顯露出網絡空間作戰的端倪。為此，德國政府和軍隊先后頒布了一系列相關文件指導網絡空間安全領域的建設。其中，最典型的部門為戰略偵察指揮部和國防軍信息技術中心。除此之外，還有負責部隊IT系統的聯邦國防軍信息技術指揮部、負責為軍事行動提供地理信息支援保障的聯邦國防軍地理信息中心、負責部隊網絡安全的聯邦國防軍網絡安全中心，以及負責計算機網絡行動的網絡軍事行動中心等。負責監察國防軍的議員漢斯·佩特·巴特爾斯說，在網軍領域德國不是先行者，德國將從一些具有網絡攻防經驗的國家取經，例如美國。endprint